Pular para o conteúdo principal

Monitoramento de Alterações em App Registrations com Logic Apps e Notificação no Teams

Protegendo seu ambiente com notificações automáticas via Microsoft Teams

1. Introdução

No cenário atual de segurança corporativa, aplicações registradas no Azure Active Directory (App Registrations) são peças-chave no controle de acesso e identidade. Essas aplicações frequentemente possuem permissões críticas e, se alteradas sem controle, podem expor sua organização a sérios riscos.

Neste artigo, você aprenderá como criar uma solução automatizada e eficiente para monitorar alterações em App Registrations usando Azure Logic Apps, com envio de alertas para o Microsoft Teams. Ideal para profissionais de infraestrutura, segurança da informação e governança de TI.

2. Por que monitorar alterações em App Registrations?

Riscos de segurança

Modificações indevidas podem representar ameaças como:

  • Inclusão de permissões excessivas

  • Redirecionamento de URIs para endpoints maliciosos

  • Criação de credenciais clandestinas

  • Mudança na autenticação do app

  • Exclusão acidental ou maliciosa de apps críticos

Conformidade e auditoria

Muitas normas de compliance exigem:

  • Monitoramento contínuo de sistemas sensíveis

  • Trilhas de auditoria detalhadas

  • Capacidade de resposta rápida a incidentes

  • Evidências de controles ativos

Detecção rápida

Com um sistema automatizado você garante:

  • Investigação ágil

  • Restauração de alterações indevidas

  • Minimização de riscos e impactos

Casos de uso

  • Monitorar alterações fora do horário comercial

  • Validar mudanças em apps críticos

  • Verificar ações de administradores privilegiados

  • Auditar conformidade com processos de change management

3. Visão geral da solução

Componentes

  • Azure Logic Apps – Orquestra o fluxo

  • Azure Monitor (Log Analytics) – Armazena logs do Azure AD

  • KQL (Kusto Query Language) – Consulta os logs

  • Microsoft Teams – Canal de notificação

Fluxo de funcionamento

  1. Logic App roda em intervalos definidos (durante o horário comercial)

  2. Executa uma consulta KQL no Log Analytics

  3. Verifica se houve alterações em App Registrations

  4. Agrupa os dados

  5. Se houver alterações, envia uma notificação para o Teams com detalhes

Benefícios

  • Sem código

  • Serverless

  • Custo reduzido

  • Fácil manutenção

  • Integração nativa entre serviços do Azure

4. Pré-requisitos

Acessos necessários

  • Permissão para criar Logic Apps

  • Acesso ao Log Analytics com logs do Azure AD

  • Permissão para postar mensagens em canais do Microsoft Teams

Recursos exigidos

  • Workspace do Log Analytics configurado

  • Diagnóstico do Azure AD habilitado e enviando para Log Analytics

  • Conexão do Teams configurada no Logic Apps

Conhecimentos recomendados

  • Noções de Logic Apps

  • KQL básico

  • Navegação no portal Azure

5. Implementação passo a passo

Criando o Logic App

  1. No portal Azure, vá em Logic Apps > + Adicionar

  2. Preencha:

    • Nome: MonitorAppRegistrationsChanges

    • Grupo de recursos

    • Região

    • Tipo: Consumo

  3. Clique em Revisar + Criar e depois Criar

    Configurando o gatilho

    • Tipo: Recurrence

    • Intervalo: 55

    • Frequência: Minutos

    • Fuso horário: E. South America Standard Time

    • Horário comercial: 8h às 17h

    • Dias úteis: Segunda a sexta

    Recomenda-se 55 min para não sobrepor execuções anteriores

    Consulta KQL no Log Analytics

    1. Adicione a ação Run query and list results

    2. Configure o Log Analytics Workspace

    3. Use a seguinte consulta:

AuditLogs
| where TargetResources[0].type == "Application"
| extend Operation = OperationName
| extend AppName = tostring(TargetResources[0].displayName)
| extend Actor = tostring(InitiatedBy.user.userPrincipalName)
| project TimeGenerated, Operation, AppName, Actor, CorrelationId, Result
| sort by TimeGenerated desc

=====================================================================

Adicione um For Each

Descrição: Itera sobre cada item retornado pela consulta.

Observação: Não há uso de filtros ou condições. Todos os resultados da consulta são processados e notificados.

Post message in a chat or channel

Conector: Microsoft Teams

Descrição: Envia uma mensagem no Teams para cada item iterado.

Formato sugerido da mensagem:

App Registration Atualizada

Data/Hora: @{items('For_each_1')?['TimeGenerated']}

Nome da Aplicação: @{items('For_each_1')?['AppName']}

App ID: @{items('For_each_1')?['AppId']}

 Modificado por: @{items('For_each_1')?['ModifiedBy']}

===================================================================

Considerações Finais

  • Este fluxo não aplica filtros lógicos nos resultados da consulta.

  • É recomendado adicionar uma condição (Condition) caso deseje restringir os resultados (ex: mudanças críticas, alterações fora do horário comercial etc.).

  • Ideal para auditorias e visibilidade rápida de alterações em aplicações registradas no Azure AD.









Comentários

Postar um comentário

Postagens mais visitadas deste blog

Microsoft Authenticator agora suporta Passkeys: Como ativar e testar

 A autenticação de dois fatores (MFA) sempre foi uma das melhores práticas para proteger contas online. Agora, a Microsoft deu um passo além ao adicionar suporte nativo para Passkeys no Microsoft Authenticator . Essa atualização, lançada em janeiro de 2025, permite que os usuários façam login sem precisar de senhas tradicionais, utilizando métodos resistentes a phishing e mais convenientes, como biometria ou PIN. Neste artigo, vamos explorar o que são Passkeys, os benefícios desse novo recurso e como ativá-lo e testá-lo no Microsoft Authenticator . O que são Passkeys? As Passkeys são um método moderno de autenticação baseado no padrão FIDO2/WebAuthn , que permite que os usuários façam login de maneira segura sem precisar inserir senhas. Em vez disso, eles usam biometria (impressão digital ou reconhecimento facial), um PIN ou outro fator local para validar a identidade. Principais benefícios das Passkeys - Resistência a phishing: Como não há senhas para serem roubadas, ataques d...
Postar um comentário
Leia mais

Mudança no Processo de Exclusão de Usuário no Microsoft 365

 A Microsoft fez uma atualização importante no processo de exclusão de usuários no Microsoft 365 . Agora, ao excluir um usuário, os delegados (pessoas que têm acesso à caixa de correio e aos arquivos) terão apenas 30 dias para acessar o OneDrive do usuário excluído. O que muda? Prazo reduzido : O tempo de acesso aos arquivos foi limitado a 30 dias após a exclusão do usuário, o que significa que os dados ficam acessíveis por um período mais curto. Impacto nos Delegados : Antes, os delegados podiam acessar os dados por mais tempo. Agora, a Microsoft reduziu esse prazo para evitar o armazenamento prolongado de dados de usuários excluídos. Ação Rápida Necessária : Caso seja necessário manter os arquivos por mais tempo, a organização deve tomar providências para transferir ou arquivar esses dados antes que o acesso expire. Por que isso é importante? Essa mudança reflete um esforço da Microsoft para alinhar a gestão de dados com práticas de segurança mais rígidas, incentivando as empre...
Postar um comentário
Leia mais

Microsoft está removendo as permissões "Todos, exceto usuários externos" no OneDrive

 Já encontrou arquivos no OneDrive acessíveis para toda a sua organização, mesmo sem ter compartilhado intencionalmente? Isso acontece por conta da permissão "Todos, exceto usuários externos" (EEEU) , que permite o acesso interno sem restrições. Mas isso está prestes a mudar. - A partir de 10 de abril de 2025 , a Microsoft removerá a permissão EEEU dos sites raiz do OneDrive e das bibliotecas de documentos padrão, reduzindo o risco de compartilhamento acidental de dados. - Se seus aplicativos, processos ou usuários dependem dessa permissão, eles perderão o acesso assim que a alteração for aplicada. - No entanto, permissões diretas de arquivos e pastas não serão afetadas – quem já tem acesso explícito continuará com permissão. Muitas organizações deixam conteúdos abertos para todos os usuários internos sem perceber. Apesar de parecer inofensivo, isso aumenta riscos de segurança e pode levar à exposição involuntária de dados. O que você deve fazer? ✅ Revisar as permissões ...
Postar um comentário
Leia mais